« Freeradius » : différence entre les versions
m (→Authentification des machines : Oublie d'un "/".) |
Aucun résumé des modifications |
||
| Ligne 30 : | Ligne 30 : | ||
Il est possible de hacher le mot de passe en changeant la valeur <source lang="bash" inline>Cleartext-Password</source> par <source lang="bash" inline>SHA2-Password</source>. Il faudra hacher le mot de passe avec l’algorithme correspondant avec <source lang="bash" inline>echo -n "toto" | sha256sum</source> (la valeur ''SHA2-Password'' prend en charge le SHA1; 224; 256; 384; 512) et le mettre dans la ligne: | Il est possible de hacher le mot de passe en changeant la valeur <source lang="bash" inline>Cleartext-Password</source> par <source lang="bash" inline>SHA2-Password</source>. Il faudra hacher le mot de passe avec l’algorithme correspondant avec <source lang="bash" inline>echo -n "toto" | sha256sum</source> (la valeur ''SHA2-Password'' prend en charge le SHA1; 224; 256; 384; 512) et le mettre dans la ligne: | ||
toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66" | toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66" | ||
====Rôles==== | |||
Par défaut, les utilisateurs s'authentifient sans privilèges. Il est possible de préciser le type d'utilisateur pour se connecter directement en mode "enable" sous Cisco IOS en ajoutant le paramètre: | |||
Service-Type = Administrative-User | |||
On ajoutera ce paramètre dans un bloc sous notre utilisateur de cette manière: | |||
<source lang="bash"> | |||
toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66" | |||
Service-Type = Administrative-User, | |||
Reply-Message := "Bonjour" | |||
</source> | |||
{{info|Les virgules en fin de lignes sont obligatoires lorsque une autre ligne suit (afin de continuer le bloc). La dernière n'en a donc pas. Il est à noter que la ligne de déclaration de l'utilisateur/mot de passe n'en a pas non plus.}} | |||
=Partie cliente= | =Partie cliente= | ||
Version du 23 octobre 2019 à 10:35
Partie serveur
Installation
apt install freeradius freeradius-utils
Pour lancer Freeradius en mode "debug", il est possible d'utiliser la commande freeradius -X.
Afin d'activer le service au démarrage, il convient d'utiliser la commande Systemd qui va bien:
systemctl enable freeradius.service
Configuration
Authentification des machines
vim /etc/freeradius/3.0/clients.conf
client 172.16.123.254 {
secret = toto123
shortname = rtr
nastype = other
}
Authentification des utilisateurs
vim /etc/freeradius/3.0/users
toto Cleartext-Password := "titi"
Il est possible de hacher le mot de passe en changeant la valeur Cleartext-Password par SHA2-Password. Il faudra hacher le mot de passe avec l’algorithme correspondant avec echo -n "toto" | sha256sum (la valeur SHA2-Password prend en charge le SHA1; 224; 256; 384; 512) et le mettre dans la ligne:
toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66"
Rôles
Par défaut, les utilisateurs s'authentifient sans privilèges. Il est possible de préciser le type d'utilisateur pour se connecter directement en mode "enable" sous Cisco IOS en ajoutant le paramètre:
Service-Type = Administrative-User
On ajoutera ce paramètre dans un bloc sous notre utilisateur de cette manière:
toto SHA2-Password := "31f7a65e315586ac198bd798b6629ce4903d0899476d5741a9f32e2e521b6a66"
Service-Type = Administrative-User,
Reply-Message := "Bonjour"
INFORMATION
Les virgules en fin de lignes sont obligatoires lorsque une autre ligne suit (afin de continuer le bloc). La dernière n'en a donc pas. Il est à noter que la ligne de déclaration de l'utilisateur/mot de passe n'en a pas non plus.Partie cliente
Cisco
Se référer à la page dédié.
